信任同伴是人类的天性 ^[1] ，尤其是当提出的要求被证明是合理的时候。社会工程师（social engineer）利用这些知识剥削他们手下的受害者，以达到他们的目的。

——K·D·米特尼克和W·L·西蒙，《欺骗的艺术》

（The Art of Deception ）

在讲求合作性的人类互动中，信任是不可或缺的要素。唉！这也使得它变成我们的弱点，很容易被所谓的“社会工程”所利用，例如骗子、小偷和恐怖分子，他们会利用和操纵我们的信任与善良本性，以获取利益。越来越多的日常物品都配备了电脑芯片，它们变得智能化和灵活化，并获得了与我们环境中的其他设备和全球网络的信息和服务进行沟通的渠道，因此有必要提防这些可能造成危害的人，不管是偶然发生，还是开玩笑的恶作剧，或者是恶意的欺骗或伤害。骗子、小偷、罪犯和恐怖分子在利用人们互相帮助的意愿方面是专家，他们既知道如何运用复杂的科技，也知道人们在什么时候看起来急需协助。

提高安全性和防范性的常用方法是严格管理有关程序，并且要求重复检查。但是，如果参与检查工作的人越多，安全性就会下降。这被称为“旁观者的冷漠”（bystander apathy），该术语出自对1964年纽约市街头发生的基蒂·吉诺维斯（Kitty Genovese）谋杀案的研究。虽然很多人目击了这一事件，但没有人伸出援手。起初，人们只是谴责纽约居民的冷漠无情，但是，社会心理学家比伯·拉坦纳（Bibb Latane）和约翰·达利（John Darley） ^[2] 却可以在他们的实验室和实地考察重现这种旁观者行为。他们总结出，围观的人越多，帮忙的人就越少。为什么呢？

试想一下你自己的反应。如果你独自一人走在大城市的街道上，遇到一起看上去像是犯罪的事件，你可能会被吓坏，因而不愿意介入，不过你可能仍然会设法寻求帮助。但是再试想一下，如果有一群人在围观这起事件呢？你会怎么做？你可能会假设自己并没有目睹这件事，因为如果它真的很严重，周围的人应该会做出一些反应。而事实上没有人做任何事情，这肯定就意味着没有坏事发生。毕竟，在大城市里什么事都可能发生：这搞不好是演员在拍电影。

旁观者的冷漠也存在于安全检查中。假设你是电力公司的技术员，你的其中一项工作就是跟同事一起检查仪表读数，你认识这位同事，而且信任他。此外，当你完成工作时，你的主管还会再检查一下。结果会让你不会特别在意这项工作。毕竟，一个错误怎么可能逃过这么多人的眼睛呢？问题就在于，每个人都这样想。结果，越多的人检查一项工作，每个人的工作就越不仔细。越多的人负责时，安全性越可能会降低：信任阻碍了工作。

商用航空界以其“飞行员人力资源管理 ^[3] ”计划对抗这种趋势，成效斐然。所有现代商用飞机都配备了两位飞行员，一位是较为资深的机长，坐在左边的位置上，而另一位是副机长，坐在右边的位置上。两位都是合格的飞行员，不过，他们通常会轮流驾驶飞机。因而，他们会用“驾驶中的飞行员”和“非驾驶中的飞行员”称呼对方。机务人力资源管理的其中一个重要部分就是，非驾驶中的飞行员会充当积极的批评者，不断检查和询问驾驶中的飞行员所进行的操作。驾驶中的飞行员应当感谢另一位飞行员提出的问题，即使这些问题不是必要的，或者甚至是错误的。显然，按这样的程序操作很困难，因为它关系到文化间的重大差异，特别是当其中一位飞行员的资历较浅时。毕竟，当其中一人质疑另外一个人的行为时，就意味着缺乏信任感；当两个人一起工作时，特别是当其中一个是另外一个的上级时，信任就尤为重要。航空界花了一段时间学习将质疑视为尊重的标志，而不是缺乏信任；同时，资深飞行员也坚持要求资历较浅的飞行员对他们的操作提出质疑。其结果是安全系数随之而提高。

罪犯和恐怖分子会利用错位的信任。要突破一个守卫森严的地方，其中一个策略就是在几天内重复触发警铃，然后躲起来，这样一来，保安人员就找不出警铃启动的原因。最后，重复报错的警铃让人们感到失望，保安人员不会再相信它们。这时，罪犯就可以乘虚而入。

并非每个人都是不可靠的，只是少数人——但这些少数人却具有非常强大的破坏力，因此我们别无选择，而只能舍弃信任，对每个人和每件事都抱着怀疑的态度。由此衍生出残酷的取舍：使安全系统更缜密的事物，往往就是让我们的生活变得更困难的事物，某些情况下，甚至使生活变得不可能。我们需要更实际的安全措施，而这种安全措施是出自对人类行为的了解。

安全问题更像是一个社会或人类的问题，而不是技术问题。当然了，你可以应用你想要的所有技术。但是，那些想偷窃、贿赂或搞破坏的人，总会找到利用人性的方法，从而突破安全系统。的确，过多的科技反而妨碍了安全，因为要尽责地完全任务，保安人员的日常工作就会变得更困难，以致罪犯可以更容易地突破安全措施。如果安全密码或程序太复杂，人们就记不住，因此他们要把这些东西写下来，并贴在电脑屏幕上、放在键盘或电话下面，或者放在桌子抽屉里（而且是在抽屉前端，他们可以比较容易拿到）。

在写这本书的时候 ^[4] ，我作为美国国家研究委员会的一名委员，负责研究信息科技和反恐怖主义。在我负责的那部分报告中，我研究了恐怖分子、罪犯和其他闹事者所运用的社会工程实务操作。实际上，要找出这些资料并不困难，其中的基础原理已经流传了数个世纪，而且还有许多前罪犯和执法官员编写的书，甚至还有犯罪小说写作指南，这些都提供了相关资料。而网络也让研究变得容易。

想要闯入一个有安全保护的电脑系统吗？抱着一大堆电脑、零件和晃来晃去的电线，走到门前请某个人把门开着，然后谢谢他。把这些破烂东西拿到空房间里，寻找应该被贴在某处的密码和用户名，然后登入系统（图5.2）。如果你无法登入，就请别人帮忙，只要开口问就是了。正如我在网络上找到的一份指南所写的那样——只要大声喊道：“有人记得这台电脑的密码吗？”你会惊讶于有许多人回答你。

总的来说，安全是一个系统问题，其中人是最重要的因素。当安全程序妨碍了善良忠诚的员工时，他们会找到应对方式，以避免受到干扰，从而使整套程序失灵。那些让我们成为富有效率、乐于合作、具创造性的员工特质不但使我们能够适应突发事件并互相帮助，也让我们难以防范这些想要利用我们的人。